Por Juan Francisco García *

Los estudios sobre vulnerabilidad en ciberseguridad de las empresas han mostrado que uno de los factores de riesgo más importantes es el error humano. Esto abarca desde programación hasta filtraciones de seguridad por un simple click en un email o un sitio malicioso. Hemos enfatizado la importancia de la capacitación para evitar que ocurra lo casi inevitable, pero las empresas deben trabajar en modelos que lleven la seguridad mucho más allá.

Para las empresas, las ciberseguridad debe ser una forma de vida: acciones y medidas de cada miembro para proteger a la orgnanización. Es imperativo extender la seguridad dentro de la cultura corporativa haciendo a todos conscientes de lo que implica el manejo de información y recursos.

Aquí es importante considerar el Shadow IT, que se refiere a proyectos de tecnología de la información, aplicaciones y software utilizados y administrados fuera —sin el conocimiento— del departamento de TI. Por lo tanto puede ser perjudicial para la seguridad, ya que existe fuera de los flujos de trabajo de auditoría y aprobación de software y servicios típicos de una empresa.

Le invitamos a registrarse a nuestro Foro de Ciberseguridad (Martes 14 de julio 2020)

Este riesgo está presente en todo lo que se conecta a la red empresarial y aumenta con cada nuevo dispositivo. El crecimiento del Shadow IT se atribuye, en gran parte, a la cantidad de aplicaciones de consumo en la nube que sirven para compartir archivos y herramientas de colaboración. Los smartphones, laptops y las tabletas también son culpables de muchos riesgos informáticos paralelos.

Lo que los usuarios vemos como una mejora en la productividad puede convertirse en una vulnerabilidad. Al principio podemos comenzar proporcionando información básica, pero al permanecer en la sombra de los equipos de IT, no hay garantía de que ninguno de los programas o aplicaciones se esté actualizando correctamente o cumpla con las políticas de ciberseguridad de la empresa.

Le invitamos a leer más notas de ciberseguridad como: La ciberseguridad tiene sus retos en Centroamérica: EY

Además, el momento que vivimos añade factores de riesgo, pues en medio de la pandemia de Covid-19 se prevé que el uso de software y productos no autorizados aumente en un 65%. A medida que más organizaciones continúan con un modelo de trabajo desde el hogar, la comunicación y el intercambio de datos se transforma. Igualmente, el uso de VPN, servicios de videoconferencia, envío de archivos y servidores proxy pueden volverse preocupantes para los equipos de TI.

En la definición de Shadow IT podemos encontrar la solución: en el momento en que los servicios que requiere el usuario para mejorar su productividad dejan de estar en la sombra, los equipos de IT pueden asegurarse de cumplir con los lineamientos de actualizaciones y seguridad necesarios para mantener el ambiente de la empresa sin riesgos.

Análisis de riesgo
Para esto, la organización debe descubrir las razones por las cuales los usuarios están utilizando estos servicios alternos para mejorar su productividad desde sus dispositivos móviles. Así, las organizaciones pueden proveer una alternativa eficaz y aprobada en la plataforma de la compañía.

Otro de los principales ejes para mantener la seguridad es la creación de conciencia y cultura. Los empleados deben saber cómo reconocer y evitar las amenazas de seguridad, evaluar una posible solución y saber dónde buscar asesoría.

Esto es un tema bien documentado. Los casos de éxito más relevantes coinciden en el desarrollo de una cultura colaborativa y un modelo de gobernabilidad alineado con una perspectiva de riesgo de negocio. La ciberseguridad no es un tema que deba manejarse fuera de las principales líneas de negocio, sino como una parte esencial de su mantenimiento.

Lo más relevante es llevar a cabo un análisis de los riesgos desde el punto de vista del negocio y eso es algo en lo que en IBM hemos trabajado por años. Una de nuestras conclusiones más importantes es que la estrategia de seguridad debe comenzar desde la empresa misma, y después adaptarse a las regulaciones externas, y no a la inversa, para así siempre coincidir con los objetivos de negocio propios.

* Director de la unidad de IBM Security en IBM México

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Centroamérica.